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MariaD 


認証 スキ ャ ン に 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 誰 証 を 設定 し て 使用 する と 、 ホ スト を さら に 詳し く 評 1 


B 認証 (PC) 


し 、 最も 正確 な 結果 を 取得 し 、 誤 検出 を 減ら すこ と が で きま す 。 本 書 で は 、 コ ンプ ライ アン スス キャ ン に お ける 


MariaDB 認証 の 設定 に 関す る ヒン ト と ベス ト プ ラ クティ ス に つい て 説明 し ます 。 


考慮 すべ き 事項 
認証 を 使用 する 理由 


認証 を 使用 す 


る と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 


する こと で 、 テ スト 中 に 更に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で す 。 


資格 情報 の 安全 性 に つい て 


資格 情報 は 、 読み 取り 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し た り 、 何 
か を 書き 込ん だ りす る と いう こと は 、 決し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 し た 状態 で 扱わ れ 、 ス キャ ン の 実 


行 中 に の み 使 


操作 手順 


| され ます 。 


まず 、 対象 の ホス ト 上 で 認証 スキ ャ ン 用 の MariaDB ユー ザ ア カ ウ ント と 権限 を 設定 し ます 。 次 に 、 Qualys Policy 


Compliance を 使用 し て 次 の 手順 を 実行 し ます 。 1) MariaDB 認証 レコ ー ド を 追加 し ます 。 2) コン プラ イア ンス スキ ャ 


ン を 開始 し ます 。 3) 認証 レポ ー ト を 実行 し て 、 ス キャ ン 対 象 の 各 ホ スト で 認証 が 成功 また は 失敗 し た か を 確認 し ま 
ds 

MariaDB の 資格 情報 

スキ ャ ン を 実行 する 前 に 存在 し て いる 必要 が ある アカ ウン ト と 権限 を 設定 する た め に 、 以下 の スク リプ ト の セッ ト が 用 
意 さ れ て いま す 。 これ ら の スク リプ ト に は 、root や Administrator な どの スー パー ユー ザ ア カ ウ ント が 必要 で す 。 


指定 の スク リプ ト を 表示 され た 順序 で 実行 し て くだ さい 。 


1) 「mysql」 デ ー タ ベー ス 内 の ユー ザ ア カ ウ ント の 作成 


この スク リプ ト に より QUALYS SCAN と いう 名 前 の ユー ザ ア カ ウ ント が 作成 され 3 


す 。 スク リプ ト を 実行 する 前 に 、 パ 


スワ ー ド を 指定 し て くだ さい 。 ここ で は スキ ャ ナ か とら 実行 可能 な り モ ー ト ユー ザ を 作成 する た め 、「%」 の 使用 は 必須 


短 上 


CREATE USER ‘QUALYS_SCAN’@’%’ IDENTIFIED BY (に こ に バス ワー ド を 人 入力] : 


注記 - ホス ト 値 に ワイ ルド カー ド を 使用 する た め 、 こ の 方 法 で MariaDB ユー ザ ア カ ウ ント を 作成 する と ある 程度 の リ 
スク が 生じ ます 。 これ は 、 デ ー タ ベー スイ ンス トー ル の 正常 な スキ ャ ン を 確実 に 実行 で きる 一 般 的 な 方 法 で す 。 


無断 複写 ・ 転 載 を 禁じ ます 。 2020 年 クキ リス ジャ パン 株 式 会 社 1 


この 他 に 、 よ り 高 い セ キュ リティ を 想定 し た ユー ザ ア カ ウ ント を 作成 する 方 法 も あり ます 。 MariaDB で は 、IP アド レス 
また は その バリ エー ショ ン の いずれ か を 使用 し て ユー ザ ア カ ウ ント を 作成 で きま す 。 その 1 つの 方 法 は 、Qualys 
Scanner Appliance の IP アド レス を 特定 し て 、 そ の IP アド レス に よっ て ユー ザ ア カ ウ ント を 作成 する こと で す 。 例え 
ば 、 ス キャ ナ の IP アド レス が 192.168.100.1 の 場合 、 ス クリ プ ト は 次 の よう に な り ま す 。 


CRBATE USER *QUALYS SCAN'@'192.168.100.1' IDENTIFIED BY (に ここ に パス ワー ド を 入力 ]': 


デー タベース サー バ と Qualys スキ ャ ナ が 同じ サブ ネッ ト 内 に ある 場合 、 サブ ネッ ト を 使用 する こと も で きま す 。 ワイ 
ルド カー ド を 使用 し て 、 ユ ー ザ アカ ウン ト を さま ざま な 方 法 で 作成 で きま す 。 


CREATE USER ‘QUALYS SCAN'@'192.168.100.% IDENTIFIED BY | ここ に ヶ パス ワー ド を 入力 ] : 
また は 
CREATE USER ‘QUALYS SCAN'@⑦'192.168.%.% IDENTIFIED BY ES ドラ リド 


より 安全 な 接続 を 提供 する も う 1 つの 方 法 は 、 ネ ットワーク 層 で 対処 する こと で す 。 ファ イア ウォ ー ル ACL を 調整 す 
る こと で 、 望ま し く な い ア クティ ビ テ ィ か ら 保 護 で きま す 。 


SSL 認証 


MariaDB 認証 は SSL に も 対応 し て いま す 。 MariaDB 認証 レコ ー ド に サー バ SSL 証明 書 を 設定 お よび 適用 で きる 
だ け で な く 、 ク ライ アン ト SSL 証明 書 に よる セキ ュ リ ティ 強化 も サポ ー ト し て いま す 。 これ は 、QUALYS_ SCAN ユー 
ザ に 対し て 設定 で きま す 。 mysqLuser テー ブル 内 で 、 ク ライ アン ト SSL 証明 書 を 受け 入れ る よう に ユー ザ を 変更 す 
る と 、 セキ ュ リ ティ 強化 の た め の 複 数 の 制限 を 追加 で きる よう に な り ま す 。 


MariaDB 認証 レコ ロード で は 、 オ プシ ョ ン で クラ イア ント SSL 証明 書 と 秘密 鍵 を 追加 で きま す 。 


2) スキ ャ ン ア カウ ント へ の 権限 の 付与 


この スク リプ ト に より 、 スキ ャ ン に 使用 され る ユー ザ ア カ ウ ント に 権限 が 付与 され ます 。 認証 が 正常 に 実行 され 、 コ ン 
プラ イア ンス スキ ャ ン が 実行 され る た め に は 、 次 の 権限 が 必要 で す 。 


GRANT SELECT ON MYSOL.USER TO QUALYS SCAN: 

GRANT SELECT ON MYSQL.DB TO QUALYS SCAN: 

GRANT SELECT ON INFORMATION SCHEMA.PLUGINS TO QUALYS SCAN: 
GRANT SELECT ON MYSOL.TABLES PRIV TO QUALYS SCAN: 


レプ リケーション を 扱う コン トロ ー ル を スキ ャ ン す る 場合 、 続 け て 以下 を 行い ます 。 


GRANT SELECT ON MYSOQL.SLAVE MASTER INFO TO QUALYS SCAN: 


以上 の 権限 付与 を 実行 し た 後 、 権 限 を フラ ッシュ し て グラ ント テー ブル を 再生 成 し ま す 。 


FLUSH PRIVILEGES: 
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3) スキ ャ ン ア カウ ント の 権限 の 確認 


スキ ャ ン に 使用 され る ユー ザ ア カ ウ ント で 不足 し て いる 権限 の 特定 に 利 
意 し て いま す 。 これ ら の スク リプ ト は 、QG_MariaDB Auth verx.x.txt ファ イル 内 に あり ます 。 この スク リプ ト は 、 適切 
な 権限 が すべ て 正しく 設定 され て いる か どう か を 確認 する た め の も の で 、 デ 


H で きる スク リプ ト を zip アー カイ ブ 内 に 用 


タベース の ス 


ュー ザ が 実行 し 


な けれ ば な り ま せん 。 この スク リプ ト に より 、 すべ て の 必須 項目 の 状態 を 表示 する 出力 が 生成 され ます 。 


出力 例 
キーーーーーーーーーーーーーーーーーーー ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー + 
Prerequisites Status 
ナーーーーーーーーーーーーーーーーーーー ナーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー- 
root@localhost <---Current logged on user 
QUALYS SCAN PASSED - account exists 
USER PASSED - SELECT privilege exists 
DB PASSED - SELECT privilege exists 
PLUGINS PASSED - SELECT privilege exists 
SLAVE MASTER INFO FAILED - SELECT privilege does not exist 
TABLES PRIV PASSED - SELECT privilege exists 
キーーーーーーーーーーーーーーーー--- キーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー---- + 


** レプ リケーション が セッ ト ア ッ プ され て いな い 場 合 、 SLAVE MASTER INFO の エン トリ の ステ ー タ ス は 


MariaDB 認証 レコ ー ド 


「FAILED」 に な る こと に 注意 し て くだ さい 。 その 場合 で も 、 ス キャ ン は 実行 され ます 。 


スキ ャ ン 対 象 の 各 MariaDB イン スタ ンス に 対 


し て 個別 の 認証 レコ ー ド を 作成 する 必要 が あり 目 
ます 。 スキ ャ ン の 際 、 ア カウ ント の すべ て の 


MariaDB 認証 レコ ユー ド を 使用 し て 、1 つの ホス 


ト で 1 つま た は 複数 の MariaDB イン スタ ンス 


が 認証 され ます 。 


レコ ー ド を 作成 する 場所 


| Scans 」 > 「 Authentication ]」 > 「 New 」 = 
「Databases 」 っ 「MariaDB Record」 に 移動 し ま 


す 。 
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‘= Scans Scans Maps Schedules Appliances 
Search 
v New マツ | 
0 ting Systems... 
|] Network ie "| ne 
Network and Secunty.… ト | 
Agent Test ーー ーー と 10.115.76.151-10.115.76.152 
Global Default Daabases ル | IBMDB2 5.76.152 
| VMware-- 2 InformixDB 
Global Default | = 
| System Record Templates. ト 
Global Default ーー MongoDB 
Authentication Vaults 
Global Default MS SQL 
| Download.… | MySQL 
Aqent Test Un 区 5 
Oracle 
Global Default Network Un 区 Oracle Listener 
Global Default Network Oracle Pivotal Greenpium 
PostgreSQL 
Global Default Network Oracle 
Sybase 
Global Default Network Oracle Test Oracle Basic 
3 


必要 な デー タベース 情報 MariaDB Authentication Record 
認証 する デー タベース 名 と デー タベース 
が 実行 され て いる ポー ト を 指定 し ます ( ま 
た は 、 デフ ォ ル ト の デー タベース 名 と 
ポー ト を 使用 し ます ) 。 


Client Certificate: 


ヒン ト - MariaDB は 、 ロ グイ ン 失 敗 カ ウン 
タ を 維持 する こと に より 、 ポー トス キャ ン か 
ら の 保護 を 積極 的 に 実行 する こと に 注意 koei 
し て くだ さい 。 正常 に ログ イン を 完了 する cr 

こと な く MariaDB の ポート に 接続 を 試み com [raneannaim a 

る と 、 こ の カウ ンタ が イン クリ メン ト し ます 。 

これ を 意識 し て お く こ と は 管理 者 に と っ て 
必要 で す 。 最終 的 に 、 サ ー バ が デー タ 
ベー ス へ の TCP 接続 の 受け 入れ を 停止 する た めで す 。 管理 者 は !「mysqladmm flush-hosts」 コ マン ド を 発行 し て カウ 
ンタ を リセ ッ ト し 、 カウ ンタ 値 が 低 す ぎる 値 に 設定 され て いな いか 調べ て 、 値 を 大 きく する こと が 推奨 され ます 。 


MariaDB Authentication Record Launch Help x 


MariaDB 構成 ファ イル 


必須 で は あり ませ ん が 、 重要 な の は 、 認 
証 レ コー ド 内 に MariaDB 構成 ファ イル 
の 場所 を 指定 する こと で す 。 この ファ イル 
は 、 特定 の チェ ッ ク で 必要 に な り ま す 。 
Unix と Windows の 場合 、 こ の ファ イル 
は 探し て いる 情報 を 入力 する うえ で 必要 
な 情報 の 収集 に 役立ち ます 。 


Client Certiicate: 


Client Key 


Database Information 
Tell us the database instance to authenticate to 


Database Name: * mariadb 


Pot * 3306 (Defautt is 3306) 


レコ ー ド に IP を 追加 する 


入力 され た 資格 情報 を 使用 し て スキ ャ ン 
エン ジン が ログ イン する 必要 が ある 
MariaDB デー タベース の IP アド レス を 
選択 し ます 。 


MariaDB Authentication Record ETcuiC 呈 較 ら 護 . 個 


Record Title 


IPs 


Add IPs to your MariaDB record. 


Login Credentials 


IPs 


Comments 


a 
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SSL の 必要 性 


SSL を 使用 する と 、 デ ー タ ベー ス に 安全 
に 接続 で きま す 。 デー タベース サー バ 
が SSL に 対応 し て いる 場合 、「SSL 
Verify」 を 選択 すれ ば 、SSL で 保護 され 
た リン ク を リク エス ト す る こと に な り ま す 。 
サー バ の SSL 証明 書 の 検証 も 実施 され 
ます 。 デフ ォ ル ト で は 、 こ の オプ ショ ン は 
false に 設定 され て いま す 。 


最終 更新 日 : 2020 年 6 月 19 日 
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MariaDB Authentication Record 


Record Titie 


Login Credentials 


Launch Help x 


Login Credentials > 


IPs 


Comments 


Use the basic login credential or choose to use authentication vault for authenticated scanning. 
® Basic Authentication 思 Authentication Vault 
User Name * 


Password * 
Confirm Password * 


Hosts 


